fix: release

Co-authored-by: m.schnitzler <martin.wb.2015@gmail.com>
Co-committed-by: m.schnitzler <martin.wb.2015@gmail.com>

package-lock.json

@@ -1,17 +1,17 @@
 {
     "name": "vscodestat",
-    "version": "1.2.0",
+    "version": "1.2.2",
     "lockfileVersion": 3,
     "requires": true,
     "packages": {
         "": {
             "name": "vscodestat",
-            "version": "1.2.0",
+            "version": "1.2.2",
             "license": "ISC",
             "devDependencies": {
                 "@types/mocha": "^10.0.10",
                 "@types/node": "25.x",
-                "@types/vscode": "^1.116.0",
+                "@types/vscode": "^1.118.0",
                 "@typescript-eslint/eslint-plugin": "^8.59.1",
                 "@typescript-eslint/parser": "^8.59.1",
                 "@vscode/test-cli": "^0.0.12",
@@ -310,9 +310,9 @@
             }
         },
         "node_modules/@types/vscode": {
-            "version": "1.116.0",
-            "resolved": "https://registry.npmjs.org/@types/vscode/-/vscode-1.116.0.tgz",
-            "integrity": "sha512-sYHp4MO6BqJ2PD7Hjt0hlIS3tMaYsVPJrd0RUjDJ8HtOYnyJIEej0bLSccM8rE77WrC+Xox/kdBwEFDO8MsxNA==",
+            "version": "1.118.0",
+            "resolved": "https://registry.npmjs.org/@types/vscode/-/vscode-1.118.0.tgz",
+            "integrity": "sha512-Ah6eTlqDcwIMELEVwQMO++rJAFBRz/oLluLD/vWdYrH1KuI9kfpaM+7pg0OvvascgcJy+ghLCERAYouM4QbzGw==",
             "dev": true,
             "license": "MIT"
         },
@@ -3138,9 +3138,9 @@
             }
         },
         "node_modules/tinyexec": {
-            "version": "1.1.1",
-            "resolved": "https://registry.npmjs.org/tinyexec/-/tinyexec-1.1.1.tgz",
-            "integrity": "sha512-VKS/ZaQhhkKFMANmAOhhXVoIfBXblQxGX1myCQ2faQrfmobMftXeJPcZGp0gS07ocvGJWDLZGyOZDadDBqYIJg==",
+            "version": "1.1.2",
+            "resolved": "https://registry.npmjs.org/tinyexec/-/tinyexec-1.1.2.tgz",
+            "integrity": "sha512-dAqSqE/RabpBKI8+h26GfLq6Vb3JVXs30XYQjdMjaj/c2tS8IYYMbIzP599KtRj7c57/wYApb3QjgRgXmrCukA==",
             "dev": true,
             "license": "MIT",
             "engines": {

package.json

@@ -1,7 +1,7 @@
 {
     "name": "vscodestat",
     "displayName": "vscodestat",
-    "version": "1.2.0",
+    "version": "1.2.2",
     "description": "",
     "categories": [
         "Other"
@@ -51,7 +51,7 @@
     "devDependencies": {
         "@types/mocha": "^10.0.10",
         "@types/node": "25.x",
-        "@types/vscode": "^1.116.0",
+        "@types/vscode": "^1.118.0",
         "@typescript-eslint/eslint-plugin": "^8.59.1",
         "@typescript-eslint/parser": "^8.59.1",
         "@vscode/test-cli": "^0.0.12",
@@ -64,7 +64,7 @@
         "typescript": "^6.0.3"
     },
     "engines": {
-        "vscode": "^1.116.0"
+        "vscode": "^1.118.0"
     },
     "icon": "icon.png",
     "extensionKind": [

todo.txt

@@ -14,57 +14,15 @@ NB : extension force-installed dans les containers vscode + vscodeluigi
 
 SECURITE
 --------
-[ ] vscodestat.url configurable user-side (CRITIQUE pour exfil)
-    src/extension.ts:14-23 : commande `setUrl` permet au user de
-    changer l'URL en runtime via `vscode.workspace.getConfiguration
-    ().update('vscodestat.url', url, ConfigurationTarget.Global)`.
-    Le user peut donc rediriger ses metriques vers son propre
-    serveur. Dans le contexte (extension force-installed pour
-    tracking employe), le user peut bypass le tracking en
-    pointant sur `https://localhost/dummy` ou similar. Attendu /
-    pas attendu ?
-    NB : entrypoint.sh dans vscode/ overwrite la URL a chaque
-    boot du container. Donc tracking restored. Mais pendant la
-    session, user peut tweak. A documenter le comportement.
 
-[ ] makeHttpRequest envoie au serveur l'event sans auth (RGPD)
+[ ] makeHttpRequest envoie au serveur l'event sans auth
     src/extension.ts : `fetch(url, { method: 'POST',
     headers: ..., body: JSON.stringify(json) })`. Pas de token.
     Cote serveur (cf monitoringserver/todo.txt), `/vscodestat` est
     aussi sans auth => tout le monde peut envoyer des metriques.
-    Mais ici c'est cote client, le code est legitime. Ce qui est
-    discutable c'est que l'event contient :
-    - `event: 'open'`, `project: extractProjectName(filePath)`
-    Ces donnees sont des metadonnees d'activite du salarie. RGPD
-    : doit etre dans le declaration des traitements RH.
-
-[ ] extractProjectName fuite des paths potentiellement sensibles
-    src/extension.ts :
-        const match = path.match(/\/docker\/([^/]+)/);
-        if (match) return match[1];
-    Si un user ouvre un fichier hors `/docker/X/...`, le
-    `extractProjectName` retourne null, donc `project: null`
-    envoye. Pas un leak direct, mais combine au tracking precis,
-    profile complet de l'activite hors-projet.
-
-[ ] Le user peut DISABLE l'extension volontairement
-    Standard VSCode : un user peut desactiver toute extension.
-    Le force-install au boot du container la re-active, mais
-    pendant la session, l'employe peut couper le tracking.
-    Pattern de force-tracking discutable (transparency).
-
-[ ] Pas de TLS pinning sur fetch
-    Si l'URL pointe vers HTTPS (probablement),
-    `monitoringserver.raphaelpiccolo.com`, certificat valide. OK
-    mais pas de pinning.
 
 BUGS / FRAGILITE
 ----------------
-[ ] /opt/vsix/vscodestat.vsix : binaire du dossier autre
-    Cf vscode/todo.txt. Le vsix est COPIE dans l'image vscode
-    (Dockerfile:48). Si le vsix de ce repo est modifie mais pas
-    rebuild dans vscode/, decalage permanent.
-
 [ ] Pas de batching
     Chaque event = 1 fetch. Pas de queue + flush periodique.
     Si reseau down, perte d'events (pas de retry). A capper.
@@ -73,30 +31,3 @@ BUGS / FRAGILITE
     src/extension.ts : catch + console.error. Pas de
     retry, pas de notification user. Si serveur down, events
     perdus.
-
-[ ] extractProjectName : path Windows hardcode au regex
-    src/extension.ts : replace `\\` -> `/` puis match
-    `/docker/(...)/`. OK pour les conventions /root/docker, mais
-    si project hors `docker/`, retourne null. A clarifier.
-
-CODE MORT / POLLUTION
----------------------
-[ ] vscodestat-1.1.X.vsix commit
-    Binaire commit dans git. A scrub si rebuild a chaque release
-    (drone publie deja sur Gitea, le vsix repo n'est utilise que
-    pour le `cp` vers vscode/). Decision : soit on automatise le
-    cp via un wget Gitea dans vscode/README, soit on le garde a
-    jour manuellement.
-
-CONVENTIONS
------------
-[ ] Pas de README detaille sur l'integration serveur
-    README mentionne juste "Sample url". A documenter le format
-    JSON envoye et le comportement.
-
-DECISION SUGGEREE
------------------
-[ ] Documenter le scope RGPD du tracking
-    Si l'extension force-installed est obligatoire pour tracker
-    l'activite des employes (Thomas, Luigi), declaration RGPD
-    requise (RGPD art 13).